Недавно на ресурсе Business Insider была опубликована статья, в которой рассказывается о том, как ирландские хакеры, после безуспешных попыток взломать информационные системы Apple, пытаются найти другие способы получения доступа к корпоративным данным. Они предлагают сотрудникам Apple 20 тыс. евро за достоверные учетные данные. И хотя подходы к инсайдерам не всегда носят столь неприкрытый характер, этот случай – хорошее напоминанием о том, что злоумышленники активно вербуют сотрудников, чтобы воспользоваться их служебным положением.

Ситуация с Apple наглядно демонстрирует, что внутрисистемная угроза (угроза безопасности со стороны персонала) не ограничивается лишь людьми, вроде Эдварда Сноудена, которые перед увольнением воруют массу данных. Сотрудники компании, имеющие доступ к конфиденциальной информации, могут представлять собой более скрытую и устойчивую угрозу.

Размышления о внутрисистемных угрозах

Руководителям службы безопасности стоит относиться к внутрисистемным угрозам так, как они бы относились к любым другим видам промышленного и государственного шпионажа.

Несомненно, что злоумышленники не отказались бы завербовать системного администратора, который в компаниях является, по сути, аналогом референта внешних связей посольства. Системные администраторы, как правило, являются хранителями ключей от сокровищницы данных, и во многих случаях могут получить доступ к различным почтовым ящикам и другим системам. Эта информация интересна лицам, ведущим промышленный шпионаж: ими могут двигать идеологические соображения, желание украсть коммерческие секреты или получить информацию для инсайдерской торговли. При этом сотрудники отдела информационных технологий не единственные возможные кандидаты на соучастие в кибератаке.

Кроме продажи действующих системных учетных данных, инсайдеры могут выполнять не такие очевидные задачи злоумышленников. Одной из задач является выполнение роли агента доступа, как это делается при обычном шпионаже: для обнаружения потенциальных источников. Вместо того, чтобы выискивать и пытаться связаться с определенными сотрудниками, хакеры могут через инсайдеров получить представление о системах и процедурах безопасности компании. Инсайдеры также могут предоставить схему организационной структуры и примеры связей в компании. И более важным моментом является то, что инсайдеры знают, кто с кем общается и на какие темы, они могут переслать образцы сообщений электронной почты, чтобы показать, как взаимодействуют люди внутри компании.

Такие подробности могут быть превосходным подспорьем в выборе целей для хорошо продуманных и убедительных атак направленного фишинга, т.е. кибератак через электронную почту, нацеленных на определенного пользователя. Если хакер узнает, что Кэрол регулярно высылает текстовые документы или электронные таблицы Бобу, а также обладает образцами фраз, с которыми Кэрол обычно обращается к Бобу, включая жаргонные слова, то такой хакер может разработать искусно-подделанное сообщение и, сымитировав адрес почтового ящика Кэрол, выслать сообщение вместе с прикрепленной вредоносной программой.

Агенты доступа могут также использоваться для выявления сотрудников имеющих финансовые или иные уязвимости, например, озлобленных на компанию или употребляющих наркотики – таких людей легче завербовать. Секс также является хорошим средством вербовки, и агенты доступа могут выявить людей наиболее уязвимых для так называемой «медовой ловушки».

Сотрудники не из ИТ-отдела могут также использоваться для внедрения вредоносных программ в компьютерную систему компании. Они могут намеренно открыть программу направленного фишинга, а в случае поимки сыграть роль жертвы. Они также могут, к примеру, украсть флешку со стола своего коллеги, позволить хакерам установить на нее вредоносную программу, а затем вернуть ее на место. Существует много путей, с помощью которых инсайдер не из ИТ-сферы может внедрить вредоносную программу в системы компании – даже в системы с физической изоляцией и защищенной системе, изолированной от Интернета.

Постоянная внутрисистемная угроза

Внутрисистемные угрозы не ограничиваются разовыми успехами, как в случае со Сноуденом. Инсайдеры-агенты, которые притворяются безобидными и способны виртуозно оправдываться, могут оставаться в целевой компании долгое время. Опять же, возвращаясь к мышлению в рамках традиционного шпионажа, невероятным успехом считался случай, когда человек заходит в посольство и вручает сотруднику разведки портфель полный секретных документов. Однако, хорошему сотруднику разведки этих документов мало. Умные офицеры будут обеспечивать защиту перебежчиков и убеждать их продолжить работу. Таким образом, у них будет постоянный поток ценных разведданных вместо одной пачки документов.

Однако даже если мы имеем дело с завербованным агентом, а не с перебежчиком, наилучшей стратегией является обеспечение работы агента в целевой компании в течение продолжительного времени для того, чтобы собрать максимальное количество данных.

Национальные разведывательные центры, выполняющие операции компьютерной разведки, пользуются теми же принципами при вербовке источников, как и при выполнении иных операций. Разведывательные службы не проводят четких различий между агентом, завербованным для получения традиционных разведанных и агентом, завербованным для получения киберразведывательной информации. После вербовки, агенты могут использоваться для обеих целей.

Если кто-то сомневается в том, что разведывательные службы ряда стран активно вербуют сотрудников различных компаний в качестве источников данных, он не слишком внимателен. Государства часто используют фальшивые данные, когда офицеры разведки выдают себя за конкурентов или даже преступников.

Но даже если не принимать во внимание разведывательные службы, легко понять насколько выгодно для идеологически мотивированных перебежчиков, конкурентов и преступников иметь внутренние источники, внедренные на долгий срок в компанию.

Небезопасные методы работы

И, наконец, кроме осведомителей, действующих преднамеренно, есть просто неосторожные сотрудники, которые также представляют собой значительную угрозу. Кроме широко освещаемых средствами массовой информации инцидентов, как например случай, когда сотрудник Apple оставил сверхсекретный прототип iPhone 4 в баре или случай с генеральным директором Qualcomm, чей ноутбук был украден незадолго до опубликования квартальных результатов деятельности компании, всегда есть шанс, что какой-либо сотрудник попадется на фишинговом письме и внедрит вредоносную программу на серверы компании через личный ноутбук.

Все потенциальные игроки, представляющие угрозу, от разведслужб до преступников, могут воспользоваться ошибками, которые непреднамеренно делают невнимательные сотрудники. В сравнении с вербовкой инсайдеров, которая требует больших усилий и которую легче обнаружить, целевая кибератака – это более дешевое и менее рискованное решение, которое может быть столь же эффективным. Неосторожность сотрудников упрощает выполнение таких атак.

Неправильные действия в отношении информационной безопасности не относятся только к сотрудникам нетехнического направления. Недостаток опыта, лень или неправильные методы работы могут и сотрудника ИТ-отдела сделать халатным. Коротко говоря, сотрудники должны быть хорошо информированы и оставаться начеку постоянно. Угроза, которую представляют собой такие инсайдеры, как Сноуден, – велика. Но это далеко не единственный тип внутрисистемной угрозы, которая может нанести вред вашей компании.

Внутренняя угроза для информационной безопасности

Прошедший год оказался непростым для бизнеса. Однако в индустрии ИБ произошли три положительных изменения, которые нельзя не отметить:

1. Сформировался конкурентный рынок ИБ.

Сама индустрия за прошедший год сильно подтянулась: многие вендоры доработали свои решения – выпустили интересные релизы существующих продуктов или запустили новые ветки.

Различия в функционале, конечно, остались довольно значительные, однако они видны больше при решении реальных, прикладных задач.

Текущая ситуация индустрии ИБ вышла из периода «штучного продукта» и теперь больше напоминает сформировавшийся рынок, где царит здоровая конкуренция. Это, безусловно, на руку клиентам: теперь каждый найдет лучшее для него соотношение качества, возможностей и цены.

2. Выросли требования пользователей к ИТ-решениям.

Пользователи систем ИБ также значительно повлияли на индустрию за прошедший год. Росла популярность ИТ-решений по вопросам ИБ, а вместе с ней и «продвинутость» пользователей: они стали более требовательны к инструментам аналитики и обработки массива данных.

Пользователи сформировали понимание, каких опций им не хватает в существующих инструментах ИБ, как эффективнее решать свои задачи.

3. Изменилась оценка обществом самого факта контроля.

Однако самое главное изменение произошло в сознании коллективном – люди стали принимать необходимость контроля. Из крайне отрицательной реакции вектор сместился в сторону, как минимум, нейтралитета, а в ряде случаев наблюдается положительный взгляд на средства контроля.

Люди стали осознавать, что работодатель имеет право мониторить и анализировать рабочее время персонала. В некотором смысле это делается и в интересах самих сотрудников, для их выгоды и безопасности. Инструменты контроля персонала, при их грамотном применении, стали эффективным и необходимым решением для бизнеса, и теперь это понимают даже рядовые специалисты.

Ряд компаний работает на популяризацию идеи контроля. К примеру, Microsoft открыто заявляет о сборе «некоторых» пользовательских данных в своих новых продуктах. Как результат – это стало восприниматься пользователями как нечто обыденное, ведь большинство людей просто не готово отказаться от использования сервиса и ПО. А ведь еще три года назад такой продукт совершенно не пользовался бы популярностью.

Кроме этого, наметился еще ряд тенденций:

Во-первых, если обратиться к статистике – цифры ущерба от утечек за прошедший год увеличились значительно. Это является прямым следствием кризиса: с одной стороны, для злоумышленников ухудшение финансового состояния является главным мотиватором к активной деятельности. С другой – бюджет служб ИБ бывает сокращен настолько, что они не могут себе позволить новейшие средства защиты. Два этих фактора, по крайней мере, в ближайшем будущем, будут значительно ухудшать ситуацию.

Во-вторых – вендоры ИБ-решений пришли к пониманию правильного вектора развития. Узкоспециализированный продукт может хорошо решать свои задачи, но ему приходится сосуществовать со множеством решений другой направленности. Разработчики стали уделять значительное внимание дополнительному функционалу, упрощенному взаимодействию с другими системами, принципиально новым возможностям. Закономерно, что все крупные игроки активно расширяют линейки своих продуктов.

Последняя значимая тенденция прошедшего года – искусственное давление на решения пользователя относительно того или иного ИТ-продукта. Если раньше свободный выбор пользователя был его естественным правом, то сейчас наблюдается искусственно созданное давление со стороны властей и бизнеса. Неважно, решает ли продукт стоящие перед ним задачи, – важно, где он произведен.

Итоги года в индустрии ИБ

Сегодня на глаза попался очень хороший материал, посвященный составлению соглашений о неразглашении. Думаю, что большинству читателей нашего блога эта тема близка, поэтому ответственно заявляю, что текст по ссылке выше - отличное пособие, которое подойдет компаниям и в России, и в Украине, и в Белоруссии, и в Казахстане. Потому что законодательство в области коммерческой тайны и реалии её защиты, на самом деле, мало отличаются.

Хотел бы отдельно обратить внимание на ключевой, как мне кажется, момент, лишь вскользь затронутый в упомянутой статье. Вот он:

Реальность взыскания такого штрафа зависит от того, насколько компания сможет доказать, что конкретный работник/контрагент разгласил коммерческую тайну.

Речь идет о штрафе, но вполне понятно, что речь идет о любом взыскании, которое накладывается на работника, допустившего утечку коммерческой тайны. И здесь, думаю, я не преувеличу, если скажу, что именно DLP-система - это тот единственный способ точно установить виновного, без которого нельзя быть уверенным в успехе дальнейшей борьбы с сотрудником-злоумышленником.

Почему я так уверен в этом? Потому что ни одна штатная система контроля трафика, которая обычно используется в компаниях, к примеру, для выявления неэффективно расходуемого рабочего времени, не дает такой информации. Даже если вы получите сведения о том, с какого компьютера сотрудник отправил конфиденциальные данные, вы никак не сможете доказать, что это не сделал кто-то другой в его отсутствие. DLP-система же сможет сказать, под чьей учетной записью было отправлено сообщение, поможет установить, был ли предварительный сговор с другими сотрудниками при получении доступа к информации и сделать тысячу других подобных вещей, становящихся очень важными, когда речь идет о наказании виновных.

Конечно, есть и более продвинутые системы (IDM, например), которые обеспечивают еще лучшую привязку цифровой истории действий к личности, но в реальности именно хорошей DLP'шки хватает для охвата 95% возможных ситуаций в средней организации.

Тонкости NDA и практическая польза от DLP

Один раз мы уже поднимали тему этики в сфере информационной безопасности, сейчас я хотел бы посмотреть на этот вопрос с другой стороны – глазами тех, чьи данные могут пострадать от недостаточного внимания к вопросам сферы ИБ.

Когда специалисты по информбезопасности говорят об их работе, обычно они акцентируют внимание на ее финансовой стороне, а если точнее – то на выгоде, которую компания получает от защиты информации. Однако есть и другая, этическая сторона, о ней многие часто попросту не задумываются. Тем не менее, данная сторона является столь же важной, как и финансовая. Потому мы сейчас остановимся именно на данной проблеме, дабы подробнее ее рассмотреть.

Можно подумать, что между этикой и обеспечением информбезопасности нет и не может быть никакой связи. И, тем не менее, связь есть, и чтобы лучшее ее понять, необходимо первоначально вспомнить определение этики бизнеса.

Согласно ему, деловая этика является сводом неформальных правил (таких, которые не установлены в законодательном порядке), которых организации придерживаются во время осуществления своей деятельности. В деловую этику включаются честность по отношению к сотрудникам, поставщикам, клиентам и даже конкурентам. Также сюда входят некоторые вопросы, которые касаются влияния работы организации на здоровье «обычных людей», на животный мир и на окружающую среду. Хорошая репутация обычно помогает успешному ведению дел и даже обеспечивает дополнительную выгоду. А вот этичное поведение иногда может приводить к уменьшению прибылей, хотя это так далеко не всегда. Наиболее трудные вопросы в области деловой этики появляются в связи с работой многонациональных компаний, когда такие действия, как подкуп сотрудников, без которого в некоторых государствах вообще невозможно вести дела, в других государствах считаются уголовно наказуемыми преступлениями.

Может казаться, кажется, что для многих организаций нет смысла поддерживать нормы и правила, которые в некоторых ситуациях могут вести к уменьшению прибыли. Но кроме максимума прибыли, который можно получить в данное время, у большинства фирм есть и некоторые стратегические цели, которые связаны с долгосрочным развитием организации. Именно этих целей позволяет добиваться этика ведения бизнеса.

Деловая этика начинается именно от уважения к партнерам, клиентам, а также к сотрудникам фирмы. Причем данное уважение ни в коем случае не должно быть показным, оно обязательно должно быть искренне, ощущаться людьми даже больше подсознательно, нежели вкладываться в их головы при помощи обычных рекламных инструментов. Однако каким образом компания, которая не обеспечивает безопасность данных организаций и клиентов, с которыми она работает, и сотрудников, работающих на нее, может уважать тех, кто обладает этими данными?..

Обеспечение информбезопасности в данном плане похоже на соблюдение разных экологических норм. Может показаться, что от этого компания получает исключительно неудобства. Но несоблюдение данных норм может вызывать в итоге довольно большой общественный резонанс. И этот резонанс может отрицательно влиять на репутацию, а, следовательно, и на доходы организации. Не следует думать, что такое касается исключительно крупных фирм: даже если ваша компания пока не выросла настолько, чтобы неэтичное ведение бизнеса могло привлекать к ней внимание серьезных СМИ, всегда могут найти блоггеры и местные СМИ, которые могут поднимать вопрос, вызывающий большие обсуждения. Некоторые факты из прошлого могут «всплывать» тогда, когда вы уже станете интересны для больших СМИ – ущерб от такого поведения в итоге будет довольно ощутимым.

Наиболее опасными для организации будут утечки персональных данных партнеров и клиентов компании. Большое количество новостей о таких инцидентах и последствиях  подобных инцидентов создают ассоциацию утечек данных с ущербом для людей и компаний, которых эти данные касаются. Потому абсолютно любое сообщение об утечках информации, которые происходят в вашей фирме, будет однозначным сигналом для компаний-конкурентов, которые могут в итоге напирать на то, что эти организации, в отличие от вашей компании, заботятся о сохранности информации тех, с кем они работают.

Этика в информационной безопасности

Этот текст родился после прочтения новостей о печальном событии, авиакатастрофе с участием российского лайнера в Египте. К сожалению, такое периодически случается, и всё, что мы можем сделать в этом случае – это извлечь уроки из негативного опыта других, чтобы самолеты падали как можно реже. Для этого нужны черные ящики.

К сожалению, данные «черных ящиков» обычно нужны именно тогда, когда возникшие неполадки не позволяют использовать штатные системы телеметрии для того, чтобы понять, что именно пошло не так. И они, кстати, совсем не черные, а оранжевые, но это уже, в общем-то, не так уж и важно.

Так вот, говоря о черных ящиках, стоит помнить, что крушения бывают не только лишь в небе, но и в бизнесе. Правда, конечно, даже в самых стремительно развивающихся его видах, например, в интернет-рекламе, крушение, на самом-то деле, может растянуться на целые годы. Причины таких крушений бывают самыми разными, об этом написана не одна книга. Я хочу сейчас остановиться не на причинах, а на средствах их выявления.

Обычно в качестве таковых используют бухгалтерскую документацию компании. Но она, в отличие от настоящих «черных ящиков», содержит только цифры, а не слова и действия конкретных людей, приведших к тем или иным последствиям. Восстановить эту информацию можно только с помощью анализа переписки и внутренних распоряжений в компании. Только тогда, к примеру, собственник сможет сказать наверняка, виноват ли в крахе генеральный директор, или просто неудачно выбрано время для старта, или, скажем, всё дело в кознях кого-либо из его недоброжелателей.

Наверное, вы уже догадались, к чему я клоню. Да, DLP-система – это именно тот самый «черный ящик» бизнеса, который даст возможность его собственнику полностью проконтролировать менеджмент компании, что бы тот ни делал за его спиной. И узнать, кто виноват, если всё рухнуло. Я бы даже порекомендовал тем, кто нанимает директоров, а не сам руководит компанией, отдельным пунктом в контракте с топ-менеджментом прописывать возможность применения DLP-систем собственниками бизнеса. Уверен, это избавило бы последних от многих дорогостоящих иллюзий…

«Черные ящики» и крушение бизнеса

Прошлый пост о ботнетах натолкнул меня на продолжение в виде рассказа о том, почему выгодно красть информацию как с помощью них, так и с помощью подкупа сотрудников. Для начала расскажу о ботнетах.

Чтобы узнать, сколько стоит построение ботнета, можно заглянуть на специальные форумы. Их хватает даже в "белом" интернете, что уж говорить о "тёмной" паутине. Нужно сказать, что продажа такого софта и подобных услуг 100%  нелегальна, поэтому не воспринимайте это как инструкцию к действию! Несмотря на незаконный статус такой деятельности,  продавцы смело размещают объявления. Стоит ли так рисковать?.. Впрочем, простите, я отвлекся.

Сам бот (вредонос, из которых состоит ботнет) стоит на таких форумах от $5 до $1000 в зависимости от "навороченности". Стоимость зависит от функций и задач ботнета, от умения "прятаться" от антивирусов и прочего. Стоимость готового ботнета обычно намного выше. Легко можно найти предложения за $200  тыс. и более. но его покупка - это удел тех, кому лень разбираться или некогда ждать. К слову, чтобы создать ботнет, сегодня никакими навыками программирования обладать не нужно.

Итак, потратив $1000, вы получаете возможность заразить компьютерную сеть предприятия, где есть нужные вам данные. Сколько могут стоить они? Это тема отдельного эссе или даже целой книги.

Например, если есть бизнес-план на $1 млн., то его похищение конкурентами может вам стоить заказов на $1 млн * рентабельность компании * срок реализации бизнес-плана, т.е. уже $10 млн. Если есть разработка отдела R&D (не важно, какая - программный продукт, инженерное устройство или даже шрифт, нарисованный дизайнером), то её стоимость - зарплата отдела * время разработки. Если же посчитать недополученную прибыль, результат можно смело умножать на 10 или даже 20.

Согласитесь, что $1000, потраченные на ботнет, или даже $10000, вложенные в руки сотрудника, который принесет все на блюдечке с голубой каемочкой, - это очень выгодная инвестиция. К сожалению, Ваши конкуренты это отлично понимают...

Экономика похищения данных

Люди, о которых пойдет речь ниже – это те, к кому питают жгучую ненависть множество пользователей сети Интернет. Это люди, которые рассылают по почтовым ящикам обычных пользователей тонны спама. Они не любят популярности, однако время от времени имена спамеров предаются огласке. В данной статье мы расскажем о самых известных спамерах, чьи «подвиги» сделали их знаменитыми на просторах Всемирной паутины.

Гэри Туэрк

Человек, уже попавший на полосы газет, а кроме того, имеющий шансы попасть и в учебники истории. Его роль в развитии Интернета невероятно велика, ведь именно Гэри Туэрк стал первым в мире спамером. В свое время этот человек отправил по сети ARPAnet, которая объединяла университетские и правительственные компьютеры в США, информацию о презентации новых компьютеров фирмой, в которой он работал. Охват адресатов по сегодняшним меркам был очень маленьким – всего 600 человек. С другой стороны, и пользователей у ARPAnet было всего несколько тысяч. Первая в мире массовая рассылка получила резко отрицательную реакцию сетевого сообщества, и, тем не менее, рассылка была действенной – как поведали некоторые покупатели новых компьютеров, узнали они об этих устройствах как раз из рассылки Туэрка. Соответственно, это и повлияло на дальнейшее развитие спама в мировых масштабах.

Вардан Кушнир

Человек, о котором пойдет речь ниже, в свое время смог стать наиболее известным спамером в Рунете. Известность он смог получить благодаря организации «Центра американского английского», эта компания делала рекламу своим услугам по преподаванию английского при помощи довольно агрессивных рассылок спама. Как утверждают эксперты, с 2003 г. и до момента смерти хозяина компании «Центр» каждый день отправлял до 25 млн. рекламных писем – и это при том, что в начале 2004 г. постоянная аудитория Рунета насчитывала всего 8 млн. человек. Именно благодаря спаму «Центр американского английского» стал нарицательным именем на русскоязычных блогах и сайтах, тогда как его деятельность по отправке спама смогла привлечь внимание и Антимонопольного комитета России. В 2005 г. Кушнира убили, по версии милиции, убийство было совершено с целью ограбления. Однако некоторые обстоятельства его смерти заставляют сомневаться в вердикте следствия.

Эдвард Дэвидсон

Третий спамер в нашем списке – один из самых известных, в новостях о нем говорили гораздо больше, чем о двух перечисленных выше людях вместе взятых, причем писали о нем несколько лет назад и в газетах, и на новостных порталах. В апреле текущего года Дэвидсона посадили в тюрьму власти США. Поводом для ареста послужило обвинение в мошенничестве – не секрет, что американские законы весьма строго подходят к организаторам массовых рассылок. Однако в тюрьме этот человек провел сравнительно немного времени. Дэвидсону удалось совершить побег в середине лета, забрать свою семью и увезти ее по направлению к Денверу. До города внедорожник Дэвидсона не доехал – спустя несколько часов полицейскими была обнаружена машина, в которой находились трупы членов семьи спамера и его самого с пулевыми ранениями. Спастись смогла лишь его дочь-подросток. По версии полиции, Дэвидсон расстрелял членов своей семьи и сам застрелился. Но почему он это сделал, никто из официальных лиц сказать пока не может.

Кристофер Смит

Эдварда Дэвидсона посадили в тюрьму только на 21 месяц, а вот следующий спамер в нашем списке, Кристофер Смит, который также известен под псевдонимом Rizer, является спамером, получившим на сегодня самый большой срок тюремного заключения из всех, которые грозили когда-либо спамерам. В августе 2007 г. Rizer был приговорен судом аж к 30 годам заключения. Но стоит отметить, что такой срок обусловлен не только спамом Смита, но и тем, что многие «лекарства», рекламировавшиеся им, официально признаны вредящими здоровью покупателей. А в ходе проведения судебного процесса Кристофер грозился убить ребёнка одного из тех свидетелей, что выступали против него. В том числе и такое поведение спамера стало основанием для вынесения ему настолько сурового приговора.

Лаура Беттерли

Как видим, «королей спама» сегодня много – да и вообще этот гордый титул журналисты сегодня присваивают абсолютно каждому спамеру, который является хоть сколько-нибудь финансово успешным. А вот титул «королевы спама» очень долгое время удерживается Лаурой Беттерли. Заметим, что эта леди оставила спамерство достаточно давно – в 2005 г. Однако для спамера «отмыть репутацию» бывает довольно сложно, что и доказывает история Беттерли. Лаура получила известность благодаря интервью, данному ею Wall Street Journal, в этом интервью Беттерли сама и попросила звать ее «королевой спама». Также известно, что Лаура увлекается сайентологией, а в 2002 г. она вышла замуж за своего подчинённого.

Современные анти-герои

XXI век можно назвать веком шпионажа. Еще до Сноудена было известно, что социальные сети и мобильные гаджеты собирают колоссальные объемы данных о своих пользователях, и эти данные могут быть использованы не только для того, чтобы более точно подбирать рекламу, по которой пользователь захочет кликнуть.

Формальный ответ на вынесенный в заголовок вопрос звучит так: любому веб-сайту известна информация о вашем браузере и операционной системе. Если у вас имеется аккаунт на данном сайте, то также будут известны имя пользователя и адрес электронной почты. Вряд ли будет доступна информация о вашем пароле, так как она, как правило, кодируется в такой степени, что владелец сайта не в состоянии ее узнать. Конечно, вы не защищены на сто процентов от злоумышленников среди владельцев, которые могут взломать простые пароли с помощью «грубой силы» (брутфорс-атаки). Но, в целом, это очень, очень редкая ситуация.

А теперь начинается самое интересное: если на сайте функционирует система объявлений, то, как правило, запускаются целевые рекламные объявления. Для того, чтобы запустить целевые рекламные объявления, необходимо отследить ваши интересы. Кроме того, если на сайте размещено много контента и необходимо решить, какой именно контент стоит показать вам, то следует выяснить, кто вы такой и чем интересуетесь.

Можно проверить, что, где и как долго вы делаете на данном сайте. Данная информация сама по себе не является полезной, если веб-сайт не является огромным интернет-магазином или сайтом социальных медиа. Только в этом случае можно извлечь много полезной информации о том, чем вы занимаетесь.

Тем не менее, большинству крупных рекламных сетей уже многое о вас известно. Поисковая система Google и многие другие отслеживают вас посредством задаваемых запросов, чтобы знать, какая информация, где и когда вам необходима; и объявления, которые вам показывают, могли бы, пусть и незначительно, но заинтересовать вас.

Ваше местоположение может быть также известно, если вы включили функцию его определения на вашем устройстве. Некоторые сайты, если эта функция, отключена, будут предлагать включить её, и будут весьма настойчивы.

Если вы являетесь обычным пользователем, и за вами следят на обычном сайте, то известна лишь эта информация. Её собирают и обрабатывают роботы, и, как правило, владельцам сайта нет нужды интересоваться данными конкретно взятого пользователя. Их больше интересует статистика, которая позволит получить больше дохода от рекламы, а в ней данные пользователей обезличены.

Некоторые веб-сайты могут попытаться установить незаметное неспециалисту вредоносное ПО, чтобы попытаться выяснить ваши учетные данные на различных сервисах. Поэтому важно иметь качественный антивирус на вашем лэптопе или Android-устройстве (для iOS, к счастью, это не актуально), который предупредит вас о подобного рода попытках.

Ситуация меняется, если у кого-то есть основания, чтобы следить именно за вами, в этом случае вы, скорее всего, столкнётесь со сбором информации не роботами, а живыми людьми – социальными инженерами.

Хороший социальный инженер может узнать о вас практически все – причем совершенно из ничего. Он будет в состоянии назвать имя вашего лечащего доктора, имя первого человека, которого вы поцеловали, и даже те продукты, которые вы ели вчера.  Не существует того, чего они не знают о вас.

Если вы совершаете покупки через интернет, социальному инженеру известно что, где и когда вы покупаете; если вы размещаете в социальных сетях фотографии со смартфона, он сможет сказать, где сейчас находитесь. Заметьте, что все эти данные вы оставляете в Сети совершенно добровольно и самостоятельно, а значит, никакого состава преступления в действиях социального инженера нет и быть не может.

Поэтому главная угроза вашей безопасности в Сети – вовсе не владелец сайта, который захочет собрать данные о вас во вред вам и на пользу себе, а, как то ни странно, вы сами. Помните об этом, когда захотите в следующий раз запостить фотографию в Инстаграме.

Какую информацию о вас может узнать владелец сайта, который вы посещаете?

"В первой половине 2015 года количество утечек информации в компаниях по всему миру выросло на 10%, до 888 случаев. Причиной стали несовременные способы защиты данных, считают в компании Gemalto, проводившей исследование".

Такие исследования периодически публикуются на разных языках и затрагивают разные рынки, мы тоже не остаемся в стороне и вносим свою лепту в увеличение информационной энтропии на DLP-рынке. То, что объединяет похожие публикации - это вывод исследователей  о том, что число инцидентов, количество жертв и прочие количественные показатели неизменно растут год за годом.

Меня в новости об исследовании Gemalto заинтересовало совсем другое: "По данным исследовательской компании IDC, организации во всем мире потратили на информационную безопасность $32,6 млрд, из которых $20,2 млрд вложили в системы для защиты от утечек". Речь идет, судя по всему, о 2014-м, но здесь не так важен рассматриваемый период, как соотношение инвестиций в ИБ вообще и в защиту от утечек информации.

Согласитесь, это поразительно. При всем многообразии угроз, с которыми сегодня сталкивается и бизнес, и государственные организации, две трети бюджетов на ИБ "съедаются" защитой от утечек информации. Так что же, такие вещи, как вредоносное ПО и поиск уязвимостей отходят на второй план? Конечно, здесь многое зависит от того, что авторы исследования включили в понятие "защиты от утечек", но, очевидно, бизнес все-таки приходит к выводу, что на первом месте находятся люди, а значит, и инвестировать нужно в решения, которые связаны с людьми, а не с "железом" или "софтом".

Важный вопрос: такой колоссальный объем инвестиций способен радикально повлиять на ситуацию с утечками данных в мире? На мой взгляд, нет, потому что защита - это только реакция бизнеса на условия среды, в которой он работает. Саму  среду защита не меняет. Люди, как и прежде, не придают внимания тому, что они выкладывают в Сеть, не интересуются тем, по каким ссылкам переходят, работодатели в большинстве своем игнорируют необходимость предварительной проверки соискателей хотя бы самыми простыми методами... В общем, как говорил Воланд, люди все те же, так с чего бы утечкам кануть в небытие?

И вот все эти размышления наталкивают на мысль, вынесенную мною в заголовок поста. Мы против статистики или статистика против нас? Рост числа утечек - благо для ИБ-рынка или зло? Что вы про это думаете?

Мы против статистики или статистика против нас?

И несмотря на это, практически четверть из них не подписывают с сотрудниками NDA (соглашение о неразглашении), тогда как чаще всего секреты работодателей стараются продать руководители подразделений компании и ее менеджеры. Об этих, а также о других интересных фактах об утечках информации, с которыми имеет дело киевский бизнес, рассказывается в исследовании, проведенном SearchInform.

В исследовании принимали участие представители свыше ста двадцати киевских фирм, которые работают в разных отраслях экономики и относятся как к небольшому, так и к серьезному бизнесу. Что их на самом деле объединяет – это равнодушие к тем вопросам, которые напрямую касаются обеспечения информбезопасности фирмы. При этом в среднем ущерб от одной лишь утечки данных через год после совершения инцидента насчитывает приблизительно 3,8 млн. долл. – деньги немалые для многих украинских компаний. Несмотря на это, только в 23% организаций имеется отдел, отвечающий за информбезопасность. В большинстве компаний Киева за защиту от утечек информации отвечают только «айтишники», которые сами занимают третье место на пьедестале организаторов утечек данных.

Очень печальна и удивительна ситуация с организационными мерами, предпринимаемыми ИТ-отделами в борьбе с утечками информации. В 25% компаний, которые располагаются в Киеве, не подписывается соглашение о неразглашении конфиденциальной корпоративной информации. В 46% фирм не устанавливается никаких запретов на применение тех информационных ресурсов, которые могут применять сотрудники для хищения секретов компании.

Не удивительно, что утечки данных в киевских компаниях сегодня уже стали обыденным явлением. Только 35% компаний уверенно заявляют о том, что у них совсем не происходило утечек конфиденциальной корпоративной информации. При этом примерно в 39% случаев утечки данных тем или иным образом связаны с сотрудниками, которые были уволены или сокращены.

Обычно виновниками в утечках данных в компаниях Киева становятся менеджеры, реже всего это бывают секретари. Как ответные меры компании обычно задействуют увольнение провинившихся сотрудников, а также лишение их премий, штрафы или выговоры. Но 6% сотрудников, кто допустили утечки информации, удается избегать наказания полностью.

Техническая сторона борьбы с утечками информации в компаниях Киева тоже не на высоте: в 55% компаний система защиты от утечек информации (Data Leakage Prevention, DLP) до сих пор не внедрена. Там же, где она есть, зачастую предпочитают не информировать сотрудников о том, что система ведет за ними молчаливое наблюдение.

В целом, сложно не согласиться с известным киевским экспертом по информационной безопасности Владимиром Безмалым, сертифицированным специалистом Microsoft, который считает, что «к проблеме утечек, особенно после заявлений Э.Сноудена, просто привыкли. Сегодня сложно найти телефон, планшет, браузер или ОС, которые не сливают о тебе огромное количество мегабайт информации в реальном времени». Умеренный оптимизм, впрочем, внушает тот факт, что 16% компаний все же планируют внедрение DLP-решений, несмотря не на самые простые условия в экономике страны.

Но этот небольшой штрих в целом не влияет на ситуацию с обеспечением информационной безопасности в организациях Киева. Внедрение азов информационной безопасности – разграничения доступа к конфиденциальным документам, подписание NDA, инструктаж персонала – не потребует от компаний больших усилий, но уже позволит привлечь внимание персонала к важности проблемы утечек информации. Впрочем, если что-то мешало компаниям реализовать на практике эти простые приемы до сих пор, нет никакой гарантии, что им удастся устранить эти загадочные препятствия и в обозримом будущем.

Половина компаний Киева сталкивались с утечками данных